Привилегии суперпользователя для чайников: просто используй CVE-2024-3400

CVE-2024-3400 (+ url + github url#1, url#2) — это критическая уязвимость при внедрении команд в программное обеспечение Palo Alto Networks для PAN-OS, которая, в частности, влияет на функцию GlobalProtect. Эта уязвимость позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код с правами суперпользователя на уязвимом брандмауэре. Уязвимость затрагивает версии PAN-OS 10.2, 11.0 и 11.1 при настройке с помощью GlobalProtect gateway или GlobalProtect portal.

Первоначальное обнаружение и использование:

📌Уязвимость была впервые обнаружена Volexity 26 марта 2024 года.

📌Злоумышленники, идентифицированные как поддерживаемая государством группа UTA0218, воспользовались уязвимостью для получения несанкционированного доступа к устройствам брандмауэра.

Вектор атаки:

📌Уязвимость используется с помощью ошибки фильтрации команд в функции GlobalProtect. Злоумышленники могут манипулировать cookie SESSID для создания произвольных файлов в системе, которые затем могут быть использованы для выполнения команд с правами суперпользователя.

📌Атака не требует аутентификации, что делает ее чрезвычайно опасной ввиду низкой сложности применения.

Последовательность действий:

Шаг 1: Разведка:

📌Злоумышленники сканируют уязвимые устройства PAN-OS, настроенные с помощью GlobalProtect gateway или портала.

📌Они используют простые команды для размещения в системе файлов размером в ноль байт для проверки уязвимости.

Шаг 2: Первоначальное использование:

📌Злоумышленники отправляют на уязвимое устройство специально созданные сетевые запросы, манипулируя cookie-файлом SESSID для создания файла в определенном каталоге.

📌Пример: Cookie: SESSID=/./././var/appweb/sslvpndocs/global-protect/portal/images/poc.txt.

Шаг 3: Выполнение команды:

📌Созданный файл используется для ввода и выполнения произвольных команд с правами суперпользователя.

📌Злоумышленники создают reverseshell и устанавливают дополнительные инструменты, такие как пользовательский Python-бэкдор UPSTYLE, для обеспечения закрепления в системе.

Шаг 4: Последующая эксплуатация:

📌Злоумышленники извлекают конфиденциальные данные, включая текущую конфигурацию брандмауэра и учетные данные пользователя.

📌Они также могут использовать взломанное устройство для распространения по сети.

Обнаруженная вредоносная активность:

📌Всплеск вредоносной активности наблюдался вскоре после публичного раскрытия уязвимости и публикации сценария эксплойта на GitHub.

📌Злоумышленники использовали бэкдор UPSTYLE для косвенного взаимодействия со взломанным устройством, отправляя команды через журналы ошибок и получая выходные данные через общедоступную таблицу стилей.